Foros del Web » Soporte técnico » Virus, troyanos y spyware »

troyano notepad.exe

 Estas en el tema de troyano notepad.exe en el foro de Virus, troyanos y spyware en Foros del Web. Ayer ya me fije en un proceso que habia en mi administrador de tareas llamado notepad.exe(cuando no había ningun bloc de notas activo) ocupando 18.000 ...
  #1 (permalink)  
Antiguo 22/07/2010, 16:17
 
Fecha de Ingreso: diciembre-2009
Mensajes: 39
Antigüedad: 14 años, 4 meses
Puntos: 0
troyano notepad.exe
Ayer ya me fije en un proceso que habia en mi administrador de tareas llamado notepad.exe(cuando no había ningun bloc de notas activo) ocupando 18.000 kb y cuando termino el proceso se vuelve a abrir automaticamente, le he subido a virustotal y este es el informe, segun esto, es un troyano, yo ya no se que hacer, ayudenme por favor


Motor antivirus;Versión;Última actualización;Resultado
a-squared;5.0.0.31;2010.07.02;Trojan.Win32.VB!IK
AhnLab-V3;2010.07.02.00;2010.07.02;-
AntiVir;8.2.4.2;2010.07.01;-
Antiy-AVL;2.0.3.7;2010.06.30;-
Authentium;5.2.0.5;2010.07.02;W32/VB.AY.gen!Eldorado
Avast;4.8.1351.0;2010.07.01;Win32:Trojan-gen
Avast5;5.0.332.0;2010.07.01;Win32:Trojan-gen
AVG;9.0.0.836;2010.07.02;BackDoor.Generic12.BVHQ
BitDefender;7.2;2010.07.02;-
CAT-QuickHeal;11.00;2010.06.30;(Suspicious) - DNAScan
ClamAV;0.96.0.3-git;2010.07.02;-
Comodo;5283;2010.07.02;-
DrWeb;5.0.2.03300;2010.07.01;-
eSafe;7.0.17.0;2010.06.30;Win32.BackDoor.CEP.C
eTrust-Vet;36.1.7680;2010.07.01;-
F-Prot;4.6.1.107;2010.07.01;W32/VB.AY.gen!Eldorado
F-Secure;9.0.15370.0;2010.07.02;-
Fortinet;4.1.133.0;2010.07.01;-
GData;21;2010.07.02;Win32:Trojan-gen
Ikarus;T3.1.1.84.0;2010.07.02;Trojan.Win32.VB
Jiangmin;13.0.900;2010.07.01;Trojan/Buzus.hjl
Kaspersky;7.0.0.125;2010.07.02;-
McAfee;5.400.0.1158;2010.07.02;BackDoor-CEP.gen.cb
McAfee-GW-Edition;2010.1;2010.07.01;BackDoor-CEP.gen.cb
Microsoft;1.5902;2010.07.01;Trojan:Win32/VB.WG
NOD32;5244;2010.07.01;-
Norman;6.05.10;2010.07.01;W32/Suspicious_Gen2.BGOBI
nProtect;2010-07-01.01;2010.07.01;-
Panda;10.0.2.7;2010.07.01;Trj/CI.A
PCTools;7.0.3.5;2010.07.02;-
Prevx;3.0;2010.07.02;High Risk Cloaked Malware
Rising;22.54.04.01;2010.07.02;Trojan.Win32.Generic .520B0BDE
Sophos;4.54.0;2010.07.02;-
Sunbelt;6533;2010.07.02;Trojan.Win32.VB
Symantec;20101.1.0.89;2010.07.02;-
TheHacker;6.5.2.1.307;2010.07.01;-
TrendMicro;9.120.0.1004;2010.07.01;-
TrendMicro-HouseCall;9.120.0.1004;2010.07.02;-
VBA32;3.12.12.5;2010.07.01;-
ViRobot;2010.6.29.3912;2010.07.01;-
VirusBuster;5.0.27.0;2010.07.01;-

Información adicional
File size: 760578 bytes
MD5   : 3fbbdfd802395022fbacd1af94fde432
SHA1  : 43f80fd894ef283f0d4862f15b73170e570d4106
SHA256: 36c3f9d0c322a8e04ecf9dceb705e2318f35f0e34257829c15 bf7df7edb735ad
PEInfo: PE Structure information<br> <br> ( base data )<br> entrypointaddress.: 0x1004<br> timedatestamp.....: 0x4BB823D9 (Sun Apr 4 07:30:01 2010)<br> machinetype.......: 0x14C (Intel I386)<br> <br> ( 3 sections )<br> name viradd virsiz rawdsiz ntrpy md5<br> .text 0x1000 0x22000 0x2100A 7.99 3ecd3555dca268cd2841a6cc69f8148e<br>.data 0x23000 0x16F8 0x2000 7.92 1815a93d389567609e4860241d1fb1d9<br>.rsrc 0x25000 0x6730 0x7000 4.24 99fdc16d8b605fbcbed9ed0830876897<br> <br> ( 3 imports )<br> <br>&gt; advapi32.dll: RegDeleteKeyA, RegOpenKeyA, RegEnumKeyA, RegEnumValueA, RegQueryValueA, RegDeleteValueA, RegCloseKey, RegCreateKeyA, RegSetValueA<br>&gt; kernel32.dll: GetModuleHandleA, VirtualProtect, GetProcAddress, HeapCreate, HeapDestroy, HeapFree, HeapAlloc, RtlUnwind, ExitProcess, CloseHandle, GetCurrentProcess, CreateFileA, LoadLibraryA, LCMapStringA<br>&gt; user32.dll: CharLowerBuffA, CloseWindow, wsprintfA, SetWindowLongA, CreateWindowExA<br> <br> ( 0 exports )<br>
TrID&nbsp;&nbsp;: File type identification<br>Generic Win/DOS Executable (49.9%)<br>DOS Executable Generic (49.8%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
Symantec&nbsp;reputation: Suspicious.Insight http://www.symantec.com/security_res...021223-0550-99
ssdeep: 12288:wcs1JJFKHReshDKG1qiucBrdahiXpwKLEIgu+9PSzxWz 05ZiE3HU0F2DjF:q1JJF+RmG1qiXBrdaspwKLEIgL9q1yi4
sigcheck: publisher....: n/a<br>copyright....: n/a<br>product......: std<br>description..: n/a<br>original name: ffderysdadd.exe<br>internal name: ffderysdadd<br>file version.: 1.00<br>comments.....: n/a<br>signers......: -<br>signing date.: -<br>verified.....: Unsigned<br>
Prevx&nbsp;Info: <a href="http://info.prevx.com/aboutprogramtext.asp?PX5=AB099391029846439BD10BB4F 79E5B00B32C0F30" target="_blank">http://info.prevx.com/aboutprogramtext.asp?PX5=AB099391029846439BD10BB4F 79E5B00B32C0F30</a>
PEiD&nbsp;&nbsp;: -
packers&nbsp;(Kaspersky): MoleboxUltraPatch
RDS&nbsp;&nbsp;&nbsp;: NSRL Reference Data Set<br>-
  #2 (permalink)  
Antiguo 26/07/2010, 02:09
 
Fecha de Ingreso: julio-2010
Mensajes: 7
Antigüedad: 13 años, 9 meses
Puntos: 0
Respuesta: troyano notepad.exe
Hola sergiordenata, lei tus informes y te diria que sigas escaneando. Descargate el superantispyware, avast v4, Anti-malware, entra en modo aprueba de errores y hace un escaneo completo. Si no funciona, volve al estado normal de windows y hace otro nose si hiciste, escaneo online que te recomiendo el panda http://www.pandasecurity.com/activescan/index/?track=100588 . Suerte.
  #3 (permalink)  
Antiguo 04/08/2010, 16:09
 
Fecha de Ingreso: abril-2010
Mensajes: 20
Antigüedad: 14 años
Puntos: 0
Respuesta: troyano notepad.exe
Hola:

Saben hay troyanos que no son detectados por los antivirus debido a su encriptacion, hay .exe cuyo nombre es Panda Fucker que es para el antivirus Panda para hacerlo indectectable y nose que mas inventa con el panda. Se que escanearas muchoas archivos y te dara un resultado diciendo que no ha detectado nada, y cuando pasa eso hay que hacerlo manualmente.

El troyano como todos saben, es un servidor, y mayor mente se encuentra el las siguientes carpetas:

system32, AppData, Windows, Programfiles y Temp.

Muchas veces hay que hacer las cosas manualmente usando nuestras creatividades e imaginaciones.

Puedes ir a Start Menu\Run (ejecutar), si tienes Win vista o Win 7, oprimes las siguientes teclas:

Windows + R y te saldra el ejecutador y ahi escribes "regedit" sin las comillas, y luego vas a hacer lo siguien, osea, abrir las siguientes carpetas

HKEY_CURRENT_USER\Software\Microsfot\Windows\Curre ntVersion\Run

Y ahi apareceran todo lo que se inicia con windows, en este caso el troyano, que va ubicado en el regedit para hacer que se ejecute con windows, y si lo ves ahi le das right click y a delete.

Como tambien puedes ir a ejecutar (Run) haciendo lo mismo de lo anterior, pero en vez de escribir "regedit" vas a escribir "msconfig" y te vas a la pestaña StartUp (inicio) y si lo ves ahi, lo desactivas.

Luego apagas la PC y la prendes en modo seguro (safe mode) y ahi lo buscas y lo eliminas. Te recomiendo que una vez prendas la PC en safe mode para eliminarlo siempre uses el rigth click, obviamente sin darle dos veces.

Espero q te sirva.

Saludos!!

Etiquetas: troyanos
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta


« Tema Anterior | Próximo Tema »


La zona horaria es GMT -6. Ahora son las 00:26.